지원을 위해 임시 SSH 액세스 권한 부여

지원을 위해 임시 SSH 액세스 권한 부여

특정 소프트웨어에 대한 일부 사용자 지원을 제공해야 합니다. 이메일을 통해 지원을 주고받는 것은 지루한 작업이므로 사용자 계정에 대한 임시 액세스 권한을 얻고 싶습니다.

Bob의 지원 사용자에게 전화해 보겠습니다. 다음 절차가 작동합니까?

  • 내 공개 SSH 키를 Bob에게 이메일로 보내세요.id_rsa.pub
  • 그런 다음 Bob은 백업을 만듭니다.authorized_keys
  • authorized_keysBob은 다음 을 통해 내 공개 SSH 키를 추가했습니다.cat id_rsa.pub >> authorized_keys
  • Bob의 비밀번호를 알 필요 없이 SSH를 통해 사용자 Bob으로 로그인합니다.
  • 문제 해결을 마치고 로그아웃한 후 Bob은 이전 상태로 되돌아가 authorized_keysSSH 액세스를 취소했습니다.

부가 질문:Bob은 내가 하고 있는 일을 어떻게 모니터링할 수 있나요? 나에게 Bob의 사용자 계정에 대한 액세스 권한을 부여하려면 Bob의 많은 신뢰가 필요하므로 투명성을 확보하면 이 조치에 대한 수용도가 높아질 수 있습니다.


완전성을 기하기 위해 집에서 프로세스를 테스트한 방법은 다음과 같습니다.

  • 내 공개 SSH 키를 Bob에게 이메일로 보냈습니다.id_rsa.pub
  • Bob이 screen -x shared그의 말에 덧붙였습니다..bashrc
  • Bob은 스크린 세션을 시작하고 screen -d -m -S shared이에 연결합니다.
  • 그런 다음 Bob은 백업을 만듭니다.authorized_keys
  • authorized_keysBob은 다음을 통해 내 공개 SSH 키를 추가했습니다.cat id_rsa.pub >> authorized_keys
  • 밥이 나한테 떠나라고 했어
  • Bob의 비밀번호를 모르고 SSH를 통해 Bob 사용자로 로그인합니다. Bob이 내가 하고 있는 일을 모니터링할 수 있도록 이미 실행 중인 스크린 세션에 자동으로 연결됩니다.
  • 문제 해결을 마치고 로그아웃한 후 Bob은 이전 상태로 되돌아가 authorized_keysSSH 액세스를 취소했습니다.
  • 이제 Bob은 모든 화면 세션을 닫고 화면에 추가한 줄을 삭제할 수 있습니다..bashrc

밥의 부탁:

  • SSH 서버 실행
  • 스크린을 설치해야 함

두 도구 모두 Linux 배포판의 패키지 저장소에서 사용할 수 있습니다. 저와 Bob 사이에서 직접 커뮤니케이션이 이루어지기 때문에 댓글에서 언급한 TeamViewer 접근 방식보다 이 솔루션이 더 낫다고 생각합니다. 또한 TeamViewer는 오픈 소스가 아닙니다.

답변1

프로그램은 괜찮습니다. Bob은 키를 편집하거나 백업을 복원할 수 있습니다. ~/.ssh/authorized_keys존재하지 않을 가능성도 생각해 보세요 .

누군가가 셸에서 무엇을 하고 있는지 모니터링하려면 screen.

  1. Bob이 screen -R.bashrc에 추가됨
  2. 로그인하면 스크린 세션에 들어가게 됩니다. Bob은 화면 세션에서 입력하는 모든 내용을 볼 수 있습니다.

(노변 화면 명령이 기억나는데 추가 구성이나 테스트가 필요할 수 있습니다. 이 문서를 확인하세요.http://wiki.networksecuritytoolkit.org/index.php/HowTo_Share_A_Terminal_Session_Using_Screen)

답변2

이메일을 통해 Bob의 공개 키를 보내는 데는 "아마도 무시할 수 있는" 신뢰 체인 문제가 있습니다. 공격자가 스푸핑된 이메일을 생성할 수 있으므로 Bob은 표준 이메일을 통해 귀하의 신원을 확인할 수 없습니다.. 가상의 트래픽을 생성하려는 대기업을 특별히 표적으로 삼는 공격자가 없다고 가정하기 때문에 "아마도 무시할 수 있을 것"이라고 말합니다. 간단히 말해서, 더 쉬운 사기가 있습니다. 그러나 귀하의 계약에는 기술적인 문제가 있습니다.

메시지가 도메인에서 전송되었는지 확인하기 위해 S/MIME을 사용하여 이메일에 서명했거나 사전 공유 PGP를 사용하여 서명한 경우에는 문제가 되지 않습니다.

이메일을 처리하는 번거로움을 원하지 않는다면 웹사이트에 공개 키를 호스팅해야 합니다.HTTPS이렇게 하면 Bob이 직접 키를 다운로드할 수 있습니다. 그런 다음 Bob에게 웹사이트에서 키를 가져와 안전하게 보관하도록 지시합니다.

관련 정보